Fehlerhafte DNSSEC-Signaturen haben in der vergangenen Woche zu einem kurzfristigen Ausfall von .de-Domains geführt. Wie die Registry DENIC eG mitteilt, wurde die Störung nach kurzer Zeit behoben und alle Systeme laufen wieder stabil.
Am Abend des 05. Mai 2026 kam es ab 21:57 Uhr im Rahmen eines DNSSEC-Schlüsselwechsels zu einer technischen Störung im Domain Name System (DNS) für die Endung .de. Dies führte zu spürbaren Einschränkungen bei der Erreichbarkeit von .de-Domains. Wer versucht hat, Domain-Namen unterhalb der Endung .de aufzurufen, erhielt meist eine Fehlermeldung. Die Abkürzung DNSSEC steht für »Domain Name System Security Extensions« und eine Signierungstechnik, welche die Sicherheit und Integrität einer Domain verbessert. Das wird erreicht, indem die DNS-Kommunikation einer Domain digital signiert wird und somit verhindert, dass Angreifer gefälschte oder manipulierte DNS-Daten in den Cache von DNS-Servern einschleusen. Das schützt vor verschiedenen Arten von Angriffen, einschließlich Cache-Poisoning (das Einschleusen gefälschter Daten in den DNS-Cache), Man-in-the-Middle-Angriffen und Domain-Spoofing. DNSSEC verbessert – wenn es ordnungsgemäß funktioniert – die Sicherheit erheblich und trägt dazu bei, das Vertrauen in die Richtigkeit von DNS-Daten zu stärken. Nicht alle Nutzer waren im selben Maße von den Einschränkungen bei .de betroffen. Sofern bei der Namensauflösung ein validierender DNS-Resolver zum Einsatz kam, wurden die DNS-Antworten für sämtliche .de-Domains als fehlerhaft verworfen. Manche Resolver-Betreiber setzten als Überbrückungsmaßnahme die DNSSEC-Validierung für .de-Domains aus.
Am 06. Mai 2026 um 00:08 Uhr, also etwa zwei Stunden nach dem Beginn des Vorfalls, leitete die DENIC die Verteilung einer korrigierten DNS-Zone ein. Der Betriebszustand vor dem Ausfall konnte um 01:15 Uhr wieder vollständig hergestellt werden. Kurze Zeit später bestätigte die Registry, dass die Störung in einem zeitlichen und logischen Zusammenhang mit dem üblichen regelmäßigen DNSSEC-Schlüsselwechsel stand, weil nicht validierbare Signaturen erzeugt und verteilt wurden. Wie die DENIC weiter mitteilte, wurden die künftigen Wechsel vorsorglich ausgesetzt, bis man die genauen technischen Ursachen ermittelt habe. Sobald belastbare Erkenntnisse vorliegen, werde man diese transparent zur Verfügung stellen.
Der Vorfall sorgte aufgrund der Bedeutung von .de für das DNS – aktuell sind knapp 18 Mio. .de-Domains registriert – international für Aufsehen und wurde sowohl von Branchenbloggern als auch von Unternehmen wie Cloudflare Inc. kommentiert. So wies Kevin Murphy (domainincite.com) darauf hin, dass die DENIC trotz aller Vorteile von DNSSEC bei Weitem nicht die einzige Registry sei, die mit Problemen zu kämpfen habe. Dutzende von ccTLDs und gTLDs hätten seit der Aufnahme des Protokolls in das DNS im Jahr 2010 Ausfälle im Zusammenhang mit diesem Protokoll erlebt. Cloudflare sprach von spürbaren Auswirkungen für viele Nutzer und widmete den Vorfall einen langen Blog-Beitrag , in dem man auf die eigenen Beobachtungen einging. Das US-amerikanische Unternehmen betonte, dass schwerwiegende Zwischenfälle zwar unerwünscht sind, jedoch jedem passieren können, der kritische Infrastrukturen in großem Umfang betreibt. In solchen Fällen halte die DNS-Community zusammen und unterstütze sich gegenseitig. Vorliegend hätten Resolver-Betreiber im gesamten Internet innerhalb einer Stunde unabhängig voneinander negative »Trust Anchors« eingesetzt und so die Namensauflösung wieder hergestellt, während DENIC an der Behebung des Problems arbeitete; zugleich lobte man die von der DENIC während des gesamten Prozesses gezeigte Transparenz.